Subaru vient de corriger des failles de sécurité majeures dans son système connecté Starlink, qui équipe ses véhicules aux États-Unis, au Canada et au Japon. Ces failles, découvertes par les chercheurs en sécurité Sam Curry et Shubham Shah, exposaient les données sensibles des utilisateurs, et permettaient carrément de prendre le contrôle à distance de certaines fonctionnalités des voitures, elles donnaient aussi un accès détaillé à l’historique de localisation des véhicules.
Un contrôle total
Les chercheurs ont en fait mis en évidence des failles sur un site web destiné aux employés de Subaru. En exploitant des vulnérabilités dans le processus de réinitialisation des mots de passe, ils ont pu accéder à des comptes internes. Une fois connectés, ils pouvaient manipuler les paramètres des véhicules à distance, comme déverrouiller les portières, démarrer le moteur ou même activer le klaxon.
Plus préoccupant encore, ils ont découvert que le site permettait de consulter l’historique de localisation précis des véhicules sur une période d’un an. Pour tester cette faille, Curry a utilisé la Subaru 2023 de sa mère, qu’il a pu géolocaliser avec une précision extrême. Il a par exemple pu retracer ses visites médicales, les adresses des amis qu’elle a fréquentés et même le parking spécifique où elle s’était garée pour aller à l’église.
Selon les chercheurs, ces vulnérabilités pouvaient concerner n’importe quel véhicule équipé de Starlink, simplement en connaissant quelques informations de base sur le propriétaire, comme son nom de famille, son adresse e-mail ou sa plaque d’immatriculation.
Une réponse rapide, mais des inquiétudes sur la vie privée
Dans un communiqué, la marque a affirmé qu’aucune donnée client n’avait été compromise. Subaru a également confirmé que certains employés peuvent accéder aux données de localisation des véhicules, mais uniquement dans des cas spécifiques, comme le partage d’informations avec des secours en cas d’accident. Ces employés reçoivent une formation et doivent signer des accords de confidentialité.
Cette affaire met quand même en lumière des préoccupations plus larges. Les chercheurs rappellent que, bien que la faille ait été corrigée, l’accès aux données de localisation par les employés est un problème de fond. L’historique des déplacements, conservé sur une période d’au moins un an, pourrait être exploité à mauvais escient. Il serait d’ailleurs intéressant de voir si, avec les règles RGPD en vigueur en Europe, ce type de fuite pourrait avoir lieu en Europe.
Une problématique qui dépasse Subaru
Ces dernières années, des failles similaires ont été identifiées chez d’autres constructeurs, comme Honda, Kia ou Toyota. Au-delà des problèmes techniques, l’affaire soulève des questions sur la quantité de données personnelles collectées par les voitures connectées et la manière dont elles sont sécurisées.
